Embed Size (px)
Citation preview
D e c à l e g d e P r o t e c c i ó d e D a d e s
Í n d e x d e c o n t i n g u t
M e n o r s i P r o t e c c i ó d e D a d e s
D a d e s M è d i q u e s i D a d e s E s p e c i a l m e n t S e n s i b l e s
X a r x e s S o c i a l s
I n t e l · l i g è n c i a A r t i f i c i a l
T e l e t r e b a l l
I n t e r n e t d e l e s C o s e s
D i s p o s i t i u s M ò b i l s
C o n s e n t i m e n t i D r e t s d e P r o t e c c i ó d e D a d e s
V i d e o v i g i l à n c i a
F u n c i o n s d e l D e l e g a t / d a d e P r o t e c c i ó d e D a d e s
12
34
56
78
910 D
e c
à l e
g d
e P
r o
t e c
ci ó
d e
Da
d e
s
1
1Internet i les xarxes socials són presents a tots els racons de la societat i els menors no hi són aliens. Els anomenats natius digitals tambénecessiten formació per fer un ús responsable d’aquestes tecnologies, davant la dificultat per avaluar els riscos, presents i futurs, de fer-neun mal ús.
M e n o r s i p r o t e c c i ó d e d a d e s
Tot i ser natius digitals, els menors necessiten formació per fer unbon ús de la tecnologia: prendre consciència dels riscos deseguretat i dels riscos associats a la publicació de dades personals.
L’assetjament a través d’internet és particularment rellevant. Calque n’estiguin informats. Han de saber reaccionar quan el pateixeno l’observen i, també, evitar caure en aquestes pràctiques.
Les aplicacions de control parental poden ajudar els pares alimitar i controlar l’ús de les xarxes. Ara bé, aquesta és una opciósovint qüestionada que no pot substituir l’acompanyament de lafamilia.
E D U C A C I Ó I C O N T R O L P A R E N T A L
L’RGPD reconeix les dificultats dels menors pel que fa a laprotecció de les seves dades. Per això, en fa una especial menció.
El consentiment d’un menor només és vàlid si té 14 anys o més.En cas contrari, el consentiment l’han de donar els pares o tutorslegals.
Qualsevol informació destinada a menors s’ha de presentar d’unamanera especialment clara, perquè els menors la puguin entendre.
R G P D
Protegits per una pantalla, és més probable caure en conductes derisc. Cal conèixer les amenaces que afecten els menors mésdirectament:
• Aproximadament un 90% dels adolescents utilitza les xarxessocials, les quals fomenten la compartició de dades personals.Cal ser molt curós amb què i amb qui es comparteix unainformació. Un cop compartida, és molt difícil recuperar-ne elcontrol.
• El ciberassetjament (o cyberbullying) és l’assetjament que télloc en l’entorn virtual. Té diverses manifestacions: missatgesamenaçadors, distribució d’informació que pugui perjudicar oavergonyir la víctima, propagació de rumors, suplantació de laidentitat.
• En la ciberseducció de menors (o grooming), un adult buscaguanyar-se la confiança d’un menor a través d’internet, ambl’objectiu d’abusar-ne sexualment.
A M E N A C E S
2
1M e n o r s i p r o t e c c i ó d e d a d e s
• APDCAT. Pautes de protecció de dades per als centres educatius• F. Labrador, A. Requesens i M. Helguera. Guía para padres y educadores sobre el uso seguro de Internet, móviles y
videojuegos
• M. Garmendia, C. Garitaonandia, G. Martínez i M. A. Casado. Riesgos y seguridad en internet: Los menores españoles en el contexto europeo
• A Girl Like Her (2015), dirigida per Amy S. Weber• Trust (2010), dirigida per David Schwimmer
D O C U M E N T S D ’ I N T E R È S
3
2L’RGPD qualifica algunes categories de dades com a especialment sensibles; són les categories especials. Aquestes dades poden afectar deforma significativa els drets i les llibertats de les persones i, per això, reben una protecció especial. Entre aquestes, hi ha les dadesmèdiques, genètiques i biomètriques utilitzades per identificar persones.
D a d e s m è d i q u e s i d a d e s e s p e c i a l m e n t s e n s i b l e s
Són dades de categories especials les que revelen:• Origen ètnic o racial.• Opinions polítiques.• Creences religioses o filosòfiques.• Afiliació sindical.• Dades genètiques.• Dades biomètriques amb l’objectiu d’identificar una persona.• Dades de salut.• Dades sobre la vida o l’orientació sexual.
Tot i no ser de categories especials, les dades de condemnes iinfraccions penals també tenen limitacions en el tractament.
C A T E G O R I E S E S P E C I A L S
L’RGPD prohibeix que es tractin aquestes dades, llevat que es donialguna de les condicions de l’art. 9.2. Entre d’altres:• Consentiment explícit.• Ocupació, seguretat social i protecció social (d’acord amb la llei).• Interès vital quan l’interessat no pot donar el consentiment.• Organitzacions sense ànim de lucre pels seus membres i fins.• Dades fetes públiques per la persona interessada.• Formulació, exercici o defensa en reclamacions judicials.• Interès públic essencial (d’acord amb la llei).• Salut o atenció social (d’acord amb la llei).• Salut pública (d’acord amb la llei).• Arxiu, investigació i estadística (d’acord amb la llei).
Q U A N E S P O D E N T R A C T A R ?
Són les dades relatives a la salut física o mental d'una personafísica, inclosa la prestació de serveis d'atenció sanitària.
Això inclou qualsevol número, símbol o dada assignada a unapersona física que la identifiqui a efectes sanitaris; la informacióobtinguda de proves o exàmens, inclosa la procedent de dadesgenètiques i mostres biològiques; informació relativa a unamalaltia, una discapacitat, la situació de baixa laboral, el risc depatir malalties, l'historial mèdic, el tractament clínic o l'estatfisiològic o biomèdic de la persona interessada.
Q U È S Ó N L E S D A D E S D E S A L U T ?
No és necessari que un metge o centre mèdic demani elconsentiment al pacient per tractar-ne les dades amb finalitatd’assistència sanitària. Sí que cal, però, per a d’altres finalitats; perexemple, per enviar publicitat.
El responsable del tractament sempre s’ha d’informar el pacientsobre el tractament de les seves dades.
C O N S E N T I M E N T D E L P A C I E N T ?
Són aplicacions que fan un seguiment de l’estat físic o de la salut.Recullen una quantitat important de dades de salut (ritme cardíac,calories consumides, exercici realitzat, dieta, etc.).
Cal analitzar la informació de protecció de dades abans decomençar a utilitzar-les: responsable, finalitat, comunicació atercers, etc.
A P L I C A C I O N S DE W E L L N E S S
4
D a d e s m è d i q u e s i d a d e s e s p e c i a l m e n t s e n s i b l e s
• APDCAT. Guia de protecció de dades per a pacients i usuaris dels serveis de salut• European Patients Forum. The new EU Regulation on the protection of personal data: what does it mean for patients?• AEPD. Guía para pacientes y usuarios de la Sanidad
D O C U M E N T S D ’ I N T E R È S
2
5
3Les xarxes socials són la manera de mantenir el contacte amb amics, familiars,companys de feina, etc. Veient el gràfic d’usuaris mensuals, no hi ha dubte que sónun instrument d’ús majoritari.
Els dispositius mòbils han donat immediatesa a les xarxes socials: text, veu, fotos,vídeos i geolocalització es comparteixen en el mateix moment de generar les dades.
X a r x e s s o c i a l s
Abans de publicar una informació, pensa si convé fer-ho:• No facis comentaris ni publiquis fotos ni vídeos que et puguin
perjudicar en el futur.• No publiquis informació personal, com ara l’adreça, data de
naixement, telèfon, etc. Considera la possibilitat d’utilitzar unpseudònim.
Avalua quines persones han de poder contactar amb tu i tenir accésa la informació que publiques:• No acceptis peticions d’accés de persones que no coneixes.• Abans d’acceptar una petició d’amistat, comprova que la petició
la fa qui diu ser.
Protegeix els dispositius d’accés. Un ordinador amb les credencialsguardades o un dispositiu mòbil és una porta d’accés al nostre perfil.
Respecta la privacitat dels altres. No publiquis informació personald’altres persones sense el seu consentiment. És poc ètic i pot serdelicte.
Utilitza les opcions de privacitat disponibles: qui pot contactar ambtu, qui pot veure el teu perfil, qui pot accedir al contingutmultimèdia, etc.
Desactiva la geolocalització, si no la necessites.
R E C O M A N A C I O N S
El principal risc de les xarxes socials rau en la informació quecompartim. Bé perquè compartim informació inapropiada o béperquè la compartim amb gent inapropiada. Un cop compartida,és impossible recuperar-ne el control. Les conseqüències podenser difícils de valorar en el moment de compartir-la i, de fet, espoden materialitzar amb certa posterioritat. Per exemple, és comúque una organització cerqui a les xarxes socials informació sobrecandidats a un lloc de treball. La immediatesa que permeten elsdispositius mòbils incrementa la probabilitat de les conductes derisc.
El robatori d’identitat és produeix quan una altra persona controlade forma no autoritzada un perfil associat a nosaltres. Es potproduir com a conseqüència del robatori de les credencials operquè l’atacant ha creat un perfil fals amb la nostra informació(catfishing).
La geolocalització és un servei que incorporen algunes xarxessocials. Per exemple, per contactar amb amics propers. Cal sermolt curosos amb el seu ús: facilita el seguiment de les persones i,fins i tot, pot facilitar un robatori. La web pleaserobme.commostrava la informació de geolocalització obtinguda de xarxessocials i la relacionava amb l’adreça del domicili.
R I S C O S
2.600M
2.000M
2.000M
2.000M
350M
6
3X a r x e s s o c i a l s
• CESICAT. Guia per a l’ús segur de les xarxes socials.• ENISA “Onlie as soon as it happens”
D O C U M E N T S D ’ I N T E R È S
7
4Avui en dia, l’ús de la intel·ligència artificial (IA) s’ha generalitzat i és comú sentir-ne referències en qualsevol camp. A grans trets, laintel·ligència artificial busca donar a les màquines la capacitat de prendre decisions complexes, abans limitades a les persones. També esparla d’intel·ligència augmentada, quan es vol remarcar la cooperació entre persones i màquines.
No és una tecnologia nova. El terme IA es va començar a utilitzar als anys 50 del segle passat, però ha estat en les dues darreres dècadesque l’ús s’ha generalitzat: recomanadors (de notícies, de pel·lícules, etc.), assistents personals (Siri, Alexa, etc.), traducció automatitzada,reconeixement de veu, conducció automatitzada, diagnosi mèdica, etc.
I n t e l · l i g è n c i a a r t i f i c i a l
Els riscos depenen en gran mesura de l’aplicació concreta. Aquíens centrem en els més relacionats amb la protecció de dades.
Els recomanadors són un gran èxit comercial. Mostrant lainformació més rellevant al perfil de cada persona, millorenl’experiència, incrementen el consum, etc. Ara bé, unapersonalització massa intensa condueix a l’anomenat filtrebombolla: mostrar a l’usuari només la informació que coincideixamb la seva personalitat i aïllar-lo d’altres realitats.
La capacitat de personalitzar es pot portar un pas més enllà,buscant manipular la gent. En les eleccions dels EUA de 2016,Cambridge Analytica va recollir (sense consentiment) informacióde més de 80 milions d’electors, per personalitzar el missatge querebien de Trump segons la seva forma de pensar.
La IA no té prejudicis, però pot discriminar igual que ho fan lespersones. Els algorismes s’han dissenyat i entrenat en un contextsocial i és probable que en reprodueixin els patronsdiscriminatoris.
La precisió d’un sistema d’IA depèn de molts factors: el modelutilitzat, l’entrenament, etc. Un petit percentatge d’errors ésinevitable. Això, juntament amb el comportament de caixa negra,resta confiabilitat a les decisions, cosa especialment problemàticaen aplicacions de fort impacte (per exemple, en diagnosi mèdica).
R I S C O S
Avui en dia, pensar que podem evitar la nostra exposició a la IA éspoc versemblant. Per aquesta raó, cal una actitud crítica que enspermeti defensar els nostres drets:
• Cal tenir un coneixement bàsic del funcionament de la IA i deles aplicacions en què s’utilitza. L’objectiu és posar en contextles decisions i poder jutjar amb criteri si són apropiades.
• Dret a no ser objecte de decisions automatitzades. L’RGPDreconeix la variada problemàtica que poden presentar lesdecisions automatitzades i les prohibeix, si poden tenir unimpacte significatiu sobre les persones. Hi ha algunesexcepcions però en aquests casos es demanen garantiesreforçades; per exemple, el dret a obtenir intervenció humana,a expressar el punt de vista i a impugnar la decisió.
• Dret a la informació. No podem exercir els nostres drets sobreles decisions automatitzades si no tenim coneixement del fet.És per això que, si es prenen decisions automatitzades, l’RGPDobliga a informar d’aquest fet i a donar informació sobre lalògica aplicada.
R E C O M A N A C I O N S
8
I n t e l · l i g è n c i a a r t i f i c i a l
• APDCAT, Intel·ligència artificial. Decisions automatitzades a Catalunya• University of Helsinki. Elements of AI, curs introductori. www.elementsofai.com
D O C U M E N T S D ’ I N T E R È S
4
9
5Si bé el teletreball no és una novetat, amb la COVID-19 ha passat de ser una opció minoritària a ser una necessitat. El teletreball, en simateix, incrementa els riscos per a la seguretat de la informació, però haver-lo d’adoptar ràpidament i sense planificació prèvia, com hacomportat la COVID-19, els ha magnificat.
Amb el temps, les organitzacions han ajustat els seus sistemes a les necessitats del teletreball (equips portàtils, connexions segures, etc.),però hi ha un punt on les organitzacions no tenen un control total: el seu personal i l’ús que fa dels sistemes d’informació.
T e l e t r e b a l l
• Treballar en un entorn remot normalitza el respondre a peticionsrebudes de forma telemàtica. Els atacants ho aprofiten per feratacs d’enginyeria social (particularment, phising), per exempledemanar credencials o pagaments via correu electrònic. Segonsestadístiques, el 50% dels treballadors han patit un atac dephising en els darrers 6 mesos i un 10% el pateix cada setmana.
Unes senzilles pautes poden ajudar-nos evitar molts d’aquestsatacs: no donar mai les nostres credencials com a resposta a unapetició telemàtica, no seguir enllaços ni descarregar fitxers decorreus electrònics no sol·licitats i confirmar les peticions que sesurten del procediment habitual. Cal no confiar-se, ja que algunsatacs són difícils de detectar.
• Les dificultats del teletreball a l’hora de desenvolupar certestasques fa que hi hagi tendència a esquivar algunes mesures deseguretat establertes per l’organització.
Per exemple, segons les estadístiques, el 25% dels treballadorshan compartit les seves credencials amb companys. Aquestapràctica, ja per si mateixa perillosa, ho es més si tenim en comptela tendència a reutilitzar contrasenyes. Compartir unacontrasenya amb un company pot facilitar-li accés altres serveisde l’organització o personals als quals no es volia donar accés.
• El tractament de la informació fora de les instal·lacions d’una
organització incrementa els riscos per a la informació. Lainformació en format paper és especialment vulnerable, peròtambé ho és la que es guarda en suport digital. Els riscos sónvariats. Per exemple, treballar en un lloc públic pot posar lainformació a l’abast de tercers no autoritzats (escoltar converses,veure la pantalla de l’ordinador, etc.) i mantenir la informació enel dispositiu de teletreball pot comprometre’n la disponibilitat(en cas d’incident).
• L’ús de dispositius fora de l’organització incrementa el risc quepersones alienes hi tinguin accés. El risc es dona, sobretot, foradel domicili del teletreballador: pèrdua, robatori, etc.
Cal bloquejar els dispositius quan no s’estan utilitzant, no deixar-los desatesos en llocs públics i ser curós amb les dades sensibles.
• La comunicació és essencial en el teletreball, però l’ús de xarxespúbliques és perillós. Una xarxa sense xifratge fa que es puguinllegir les nostres comunicacions, un atacant pot crear una xarxa iesperar que la gent s’hi connecti, etc.
• Cal limitar l’ús de les xarxes públiques i, si s’utilitzen, emprarprotocols segurs extrem a extrem (VPN, https, etc.). Si això no éspossible, cal limitar al màxim la transmissió d’informació sensible.
• Dificultat de l’organització per controlar i fer el manteniment delsequips.
A M E N A C E S I R E C O M A N A C I O N S
10
T e l e t r e b a l l
• AOC. Guia ràpida per teletreballar amb seguretat• Agència de Ciberseguretat de Catalunya. Normes de ciberseguretat per a la prestació de serveis en la modalitat de teletreball
D O C U M E N T S D ’ I N T E R È S
5
11
6El terme internet de les coses, IdC (en anglès, Internet of Things, IoT) fa referència a la interconnexió de dispositius electrònics:electrodomèstics, llums, cotxes, dispositius industrials, dispositius mèdics, etc. Aquesta interconnexió incrementa la funcionalitat. Elconcepte d’smart home i smart city té l’IoT com un dels seus pilars. Les aplicacions són molt variades: controlar els dispositius d’una casa através del mòbil, control del trànsit en temps real, etc.
S’estima que actualment hi ha sobre els 11.000 milions de dispositius IoT i que el 2025 seran uns 21.000 milions. S’espera que l’arribada del5G sigui un revulsiu per l’IoT.
I n t e r n e t d e l e s c o s e s
Si bé els riscos de seguretat són una constant en totes lestecnologies, l’IoT té algunes limitacions a l’hora de gestionar-los:
• Dispositius petits i amb bateria que no poden consumir massarecursos en aspectes de seguretat.
• En gran part, dispositius sense sistema de monitorització i ambinteracció limitada amb les persones. És difícil detectar canvisde comportament.
Els riscos són molt variats i depenen en gran mesura de l’aplicacióconcreta. Els classifiquem en dues grans categories:
• Disrupció o alteració del servei. El dispositiu no compleix ambla seva funció.
• Protecció de dades. Els dispositius recullen, processen icomuniquen informació personal.
L’OWASP dona una llista de vulnerabilitats comunes en l’IoT:• Contrasenyes dèbils o fixades al programari.• Serveis de xarxa vulnerables al dispositiu IoT.• Vulnerabilitats als sistemes de control del dispositiu IoT.• Manca d’un sistema per actualitzar el dispositiu.• Emmagatzematge i transferència de dades insegura.• Configuració per defecte insegura.
L I M I T A C I O N S I R I S C O S
Una xarxa de zombis (botnet) és una xarxa de dispositius que hanestat atacats i que ara estan sota el control dels atacants. Elsdispositius IoT, pel fet de tenir connexió força permanent a laxarxa, en són objectius potencials. A banda, les limitacionsmencionades anteriorment en dificulten la detecció.
El 2016 va aparèixer la xarxa Mirai, que controlava més de 100.000routers domèstics (utilitzant contrasenyes per defecte) i que s’hautilitzat per fer atacs a gran escala contra grans empresesd’internet. En anys posteriors la botnet s’ha diversificat, tant en lamanera de prendre el control de nous dispositius com en latipologia d’atacs (minar bitcoins, etc.). S’estima que actualment tédiversos milions de dispositius sota control.
C A S : M I R A I B O T N E T
Per les seves característiques, la tasca de mantenir la seguretatdels dispositius IoT correspon principalment al fabricant. Dit això,els consumidors també hi tenen el seu paper:• Ser conscients de la necessitat de seguretat en els dispositius
IoT i tenir-ho en compte a l’hora d’adquirir-los.• Seguir les recomanacions del fabricant quant a manteniment i
actualitzacions de programari.
R E C O M A N A C I O N S
12
I n t e r n e t d e l e s c o s e s
• Internet Society. The Internet of Things: An Overview• OWASP. Internet of Things Top 10
D O C U M E N T S D ’ I N T E R È S
6
13
Els dispositius mòbils han estat una de les tecnologies de més èxit de les darreres dècades. Aquells dispositius que només permetientrucades i SMS són cosa del passat. Ara són petits ordinadors equipats amb tot tipus de sensors (GPS, micròfon, càmera, etc.) i sistemes decomunicació (dades mòbils, WiFi, Bluetooth, NFC, etc.).
L’impacte d’aquests dispositius en la protecció de les dades de les persones és enorme. No només per les seves capacitats, sinó perquè elsportem amb nosaltres tot el dia i els utilitzem per a tot tipus de tasques (comunicar-nos amb familiars, amics, etc., navegar per internet,consultar mapes, gestionar l’agenda, fer seguiment de l’activitat física, etc.).
D i s p o s i t i u s m ò b i l s
• Utilitza algun sistema per bloquejar el dispositiu quan s’està fentservir (contrasenya, patró, etc.). Això dificulta que persones noautoritzades el puguin utilitzar, en cas que hi tinguin accés físic.
• Habilita el xifratge del dispositiu. El xifratge protegeix lainformació emmagatzemada al dispositiu, de manera que nomésles persones que en coneixen el codi de desbloqueig hi podenaccedir.
• No deixis el mòbil desatès. El xifratge i el sistema de bloqueig nogaranteixen la seguretat de la informació al 100%. Cal pensar queel dispositiu es desbloqueja repetidament en entorns públics. Pertant, un atacant té opcions reals d’observar el codi dedesbloqueig. Fins i tot si no es coneix aquest codi, lesnotificacions poden revelar informació rellevant.
• Instal·la una aplicació per esborrar el contingut del mòbil deforma remota. En cas de pèrdua o robatori, aquest tipusd’aplicacions són l’única opció per esborrar la informaciópersonal.
• Mantingues el programari actualitzat. Tenir-lo desactualitzat(tant el sistema operatiu com les aplicacions) és una font devulnerabilitats i, per tant, una porta d’entrada a atacants.
• Analitza la seguretat de les aplicacions, abans d’instal·lar-les. Lesaplicacions són el puntal de l’ecosistema dels mòbils, però tambésón un punt feble en la seva seguretat. Una vulnerabilitat en unaaplicació és un punt d’entrada a atacs i hi ha, també, aplicacionsmalicioses. A banda, moltes aplicacions acostumen a demanarpermís per accedir a molta informació que realment nonecessiten. Cal, com a mínim, revisar que els permisos quedemana una aplicació són raonables.
• Cal tenir precaució amb l’ús de xarxes WiFi públiques. Aquestesxarxes que trobem a bars, aeroports, etc. permeten estalviardades, però porten associats problemes de seguretat. Els atacssón diversos: escoltar comunicacions en xarxes no xifrades o ambprotocols de xifratge vulnerables, xarxes creades per un atacant,etc.
R E C O M A N A C I O N S
7
14
D i s p o s i t i u s m ò b i l s
• CESICAT. Guia per protegir i utilitzar de forma segura el mòbil• CCN. Seguridad en dispositivos móviles (CCN-STIC-450)• Inteco. Seguridad en dispositives móviles
D O C U M E N T S D ’ I N T E R È S
7
15
El Reglament general de protecció de dades (RGPD) és la regulació normativa europea de protecció de dades actualment en vigor. Un delsobjectius de l’RGPD és l’autodeterminació informativa; és a dir, donar a les persones un major control sobre la seva informació.
C o n s e n t i m e n t i d r e t s d e p r o t e c c i ó d e d a d e s
Dret d’accés. Qualsevol persona té el dret a sol·licitar informació alresponsable de tractament sobre si està tractant dades personalsseves i, en cas afirmatiu, a rebre diversa informació.
Dret de rectificació. Qualsevol interessat té el dret que escorregeixin les seves dades, si són inexactes o incompletes.
Dret de supressió. Qualsevol interessat té el dret que sesuprimeixin les seves dades, quan: ja no són necessàries per a lafinalitat per a la qual es van recollir; el tractament es basa en elconsentiment i l’interessat l’ha retirat; el tractament es basa enl’interès públic o legítim i s’ha exercit el dret d'oposició; les dadess’han tractat de forma il·lícita.
Dret de portabilitat de dades. L’interessat té dret a sol·licitar lesdades personals, si el tractament es fa per mitjans automatitzats ies basa en el consentiment o en el compliment d’un contracte.
Dret de limitació. L’interessat pot sol·licitar que s’aturi eltractament de les seves dades en diversos casos: quan s’ha exercitel dret de rectificació i s’estan verificant les dades, quan s’haoposat al tractament i s'està verificant si hi ha altres motius queprevalen, etc.
Dret a no ser objecte de decisions automatitzades. Qualsevolinteressat té el dret a no ser objecte de decisions basadesúnicament en un tractament automatitzat, quan aquesta decisió téefectes significatius.
D R E T S
L’RGPD exigeix que qualsevol tractament tingui una base que ellegitimi. N’hi ha diverses i totes són igualment vàlides. Entred’altres:• Consentiment informat.• Interès legítim.• Obligació legal.• Interès públic.
Quan la base legitimadora és el consentiment, l’RGPD fixa unescondicions perquè sigui vàlid:• La petició de consentiment ha de ser fàcilment distingible
d’altres assumptes i s’ha d’expressar de forma clara, utilitzantun llenguatge senzill.
• Cal informar l’interessat de la identitat del responsable, de lafinalitat del tractament, etc.
• El consentiment és per a un tractament específic. Si es demanaper a diferents tractaments, cal que es pugui triar un per un aquins es dona consentiment.
• Ha de ser lliure. No ha de comportar cap penalització per al’interessat, més enllà de la impossibilitat de portar a terme eltractament en qüestió. El consentiment no es considera lliurequan hi ha una desigualtat evident entre l’interessat i elresponsable del tractament.
• S’ha de poder retirar amb la mateixa facilitat amb què s’haatorgat. Els tractaments duts a terme durant el temps en què haestat vigent continuen essent vàlids.
C O N S E N T I M E N T8
16
C o n s e n t i m e n t i d r e t s d e p r o t e c c i ó d e d a d e s
• Reglament general de protecció de dades• APDCAT. Guia per al compliment del deure d’informar.• Comissió Europea. RGPD noves oportunitats i noves obligacions.• Comissió Europea. Son sus datos, ¡tome el control!. Guía para los ciudadanos sobre la protección de datos en la UE
D O C U M E N T S D ’ I N T E R È S
8
17
9La videovigilància s’utilitza principalment per mantenir la seguretat de persones, bens o instal·lacions. Altres motivacions comunes són elcontrol del personal per part de la seva organització, la prevenció del frau, el control d’operacions, etc. Darrerament, amb la irrupció de laIA, han aparegut gran varietat de noves aplicacions (per exemple, recompte de persones o detecció d’objectes perillosos), algunes de lesquals força controvertides (com la identificació automàtica de persones).
V i d e o v i g i l à n c i a
Llevat dels tractaments de dades en l’àmbit personal o domèstic,la captació d’imatges està regulada per la legislació de proteccióde dades.• Per l’RGPD i l’LODPGDD• Per la legislació de transposició de la Directiva (UE) 2016/680,
en el cas de tractaments fets per les Forces i Cossos deSeguretat en les finalitats que els són pròpies (en procésd’aprovació).
Ens centrarem exclusivament en l’RGPD i la LOPDGDD.
R E G U L A C I Ó
La captació d’imatges de la via pública està restringida. Només espoden captar en la mesura que són imprescindibles, amb finalitatde preservar la seguretat de persones, bens o instal·lacions. No espermet, en cap cas, captar imatges de domicilis particulars.
Q U È E S P O T G R A V A R ?
Les imatges s’han d’esborrar en un termini màxim d’un mes desque es van captar.
Es poden conservar durant més temps, si són necessàries peracreditar la comissió d’actes que atempten contra persones, benso instal·lacions. En aquest cas, cal posar-les a disposició de lesautoritats en un termini màxim de 3 dies.
C O N S E R V A C I Ó DE L E S I M A T G E S
El responsable ha de determinar les persones que han de teniraccés a les dades i la finalitat d’aquest accés. S’han d’establirmesures de seguretat per evitar que persones no autoritzades hiaccedeixin.
A C C É S A L E S D A D E S
S’ha d’informar que hi ha un sistema de videovigilància. Calcol·locar un cartell suficientment visible, com a mínim, alsaccessos de la zona videovigilada.
Aquest cartell ha d’informar que s’està fent videovigilància, de laidentitat del responsable i de com exercir els drets de protecció dedades.
D R E T D ’ I N F O R M A C I Ó
Quan l’ús es limita a comprovar la identitat de la persona quetruca i a facilitar l’accés a l’habitatge, la normativa de protecció dedades no és d’aplicació. Sí que s’aplica si grava, reprodueix deforma contínua o si el camp de visió és més gran del necessari.
V I D E O P O R T E R S
D’acord a l’article 89 de la LOPDGDD, una organització pot tractarimatges de càmeres per controlar el personal, segons l’article 20.3de l’Estatut dels treballadors.
No es poden instal·lar càmeres en espais destinats al descans olleure dels treballadors, com ara vestidors, menjadors, etc.
E N T O R N L A B O R A L
18
V i d e o v i g i l à n c i a
• APDCAT. Instrucció 1/2009, de 10 de febrer, sobre el tractament de dades de caràcter personal mitjançant càmeres amb fins de videovigilància
• EDPB. Guidelines 3/2019 on processing of personal data through video devices
D O C U M E N T S D ’ I N T E R È S
9
19
El delegat de protecció de dades (DPD) és una peça clau en el sistema de protecció de dades que estableix l’RGPD. El DPD supervisa elcompliment de l’RGPD dins de la seva organització, de forma independent i sense rebre instruccions. Entre les seves funcions específiqueshi ha ser punt de contacte: per a les autoritats de protecció de dades i, també, per als interessats.
F u n c i o n s d e l d e l e g a t / a d a d e p r o t e c c i ó d e d a d e s
És obligatori designar un DPD en els casos següents (veure article34 de la LOPDGDD):• Organització o autoritat pública.• Tractament que comporti l’observació sistemàtica a gran escala.• Tractament a gran escala de categories especials de dades o de
dades relatives a condemnes o infraccions penals.Per exemple, han de designar DPD les escoles, els hospitals, lesempreses de seguretat privada, etc.
Una organització por nomenar un DPD encara que no hi estiguiobligada.
Q U A N C A L D E S I G N A R U N D P D ?
El responsable del tractament s’ha d’assegurar que el DPD està alcas de tots els assumptes relacionats amb la protecció de dades.
El responsable del tractament ha de donar al DPD el suportnecessari en el desenvolupament de les seves tasques i ha d’evitardonar-li instruccions.
P O S I C I Ó D E L D P D
• Supervisar que l’organització compleix l’RGPD.• Informar i assessorar el responsable del tractament sobre les
seves obligacions de protecció de dades.• Cooperar i exercir de punt de contacte amb l’autoritat de
protecció de dades competent.
F U N C I O N S D E L D P D
A banda d’exercir de punt de contacte de l’organització ambl’autoritat de control en totes les qüestions relacionades amb laprotecció de dades, el DPD també fa de punt de contacte amb lespersones interessades.
Els interessats poden contactar amb el DPD per qualsevol qüestiórelacionada amb el tractament de les seves dades o amb l’exercicidels drets que reconeix l’RGPD.
P U N T D E C O N T A C T E
Les autoritats de control mantenen la llista dels DPD que han estatnomenats per les organitzacions:
APDCAT. Consulta de delegats de protecció de dades
AEPD. Consulta DPD
C O N S U L T A D E D P D
10
20
F u n c i o n s d e l d e l e g a t / a d a d e p r o t e c c i ó d e d a d e s
• Reglament general de protecció de dades (RGPD)• Llei Orgànica de Protecció de Dades i Garantia de Drets Digitals (LOPDGDD)• Grup de treball de l’article 29. Directrices sobre los delegados de protección de datos (DPD)• APDCAT. Consulta de delegats de protecció de dades
url: https://apdcat.gencat.cat/ca/drets_i_obligacions/responsables/obligacions/delegat-proteccio-dades/consulta-dpd/index.html
• AEPD. Consulta DPDurl: https://sedeagpd.gob.es/sede-electronica-web/vistas/infoSede/consultaDPD.jsf
D O C U M E N T S D ’ I N T E R È S
10
21
